Ausschneiden und Skizzieren nicht sicher

Update 26.03.2023: Auch wenn Microsoft den "Acropalypse" Fehler angeblich mit der Version 11.2302.20.0 von "Ausschneiden und skizzieren" behoben hat - unter Windows 10 taucht weiterhin Version 10.2008.3001.0 auf. Daher ist es sicherer, Bilder entweder mit der kostenlosen Anwendung Paint.net zu beschneiden oder aber ShareX zu verwenden. Mit beiden Apps konnte nicht festgestellt werden, dass nach dem Ausschneiden noch ausgeschnittene Fragmente in der Bilddatei zu finden waren.

Der Nachfolger vom "Snipping-Tool" in Windows 10 und 11 ist "Ausschneiden und Skizzieren", das sich über die Tastenkombination {Windows&Hochstellen&S} aufrufen lässt. Damit können Bildausschnitte oder Bildschirmfotos erstellt, bearbeitet und gespeichert werden. Dabei kann man auch Teile wegschneiden, um beispielsweise Informationen für den Empfänger zu verschleiern.

Aktuelle Tests haben jedoch ergeben, dass die entfernte Information weiterhin im PNG-Bild abgespeichert ist. Die PNG enthält somit auch das ursprüngliche Bild mit den Informationen, die nicht verschleiert wurden. Mit Analyse-Tools (oder mit einem Hex-Editor) lässt sich demnach das ursprüngliche Bild wiederherstellen.

Das quelloffene Projekt "ShareX" hat diese Lücke nicht, bietet mehr Möglichkeiten (wie das sofortige Abspeichern der Schnappschüsse ohne Rückfrage und die Videoaufzeichnung als MP4-Datei).
ShareX ist der Nachfolger von "Greenshot". Wir empfehlen als Dokumentations- und Ausschneide-Werkzeug "ShareX" einzusetzen

ShareX Projekt

Visual C++ Runtimes ohne Updates

Erst seit den #Microsoft Visual C++ Runtimes Versionen (2015-2022) sind die Bibliotheken abwärtskompatibel, d.h. wenn man die aktuellen Runtimes (diese enthalten aktuelle Sicherheitsupdates) herunterlädt und auf den PCs und Terminalservern installiert, ist das Zielsystem - was diese Runtimes betrifft, frei von bekannten Sicherheitslücken. Es ist dann auch nur die eine Version (32 und 64-Bit) installiert.

Für alle älteren Versionen (2005/2008/2012/2013) sind im schlimmsten Fall von gleichen Versionen (gleich Jahreszahl) zig Builds installiert. Für diese Versionen galt bisher: Die alten Builds konnten deinstalliert werden, nur das aktuelle Build (letzte 5 Ziffern der Version zu der Jahreszahl) musste auf dem Windows System, um Anwendungsprogramme, die darauf setzten zu betreiben. Installiert sein muss immer die 64-Bit Version UND die 32-Bit-Version der Runtime.

Keine der oben angegebenen Versionen, einschließlich 2013 bekommt aktuell noch Sicherheitsupdates. Diese Versionen können für Angriffe genutzt werden, wenn sie solche haben und installiert sind.

Ende der Sicherheitsupdates für Visual Studio 2013 war im Januar 2023

Ein aktueller Selbstversuch hat nun gezeigt, dass ich in meinem Umfeld keine Software mehr auf Server und Endgeräten habe, die eine der oben genannten, alten Runtimes braucht. Im Selbstversuch habe ich alle alten Runtimes deinstalliert (das funktioniert ohne Neustart) und danach die komplette, verwendete Software auf Lauffähigkeit überprüft. Ergebnis: Lief noch alles 😎.

Fazit: Zumindest für lokale Rechner mag jeder für sich selbst entscheiden, ob er auch den Feldversuch macht. Sicher ist, das ein so bereinigtes System deutlich sicherer vor Angriffen ist. Wenn im Test eine Software nicht startet, muss man die angezeigte Runtime-Meldung zum Anlass nehmen, doch wieder die 64 und 32-Bit-Version dieser Runtime zu installieren - und bestenfalls den Hersteller nach einer neueren Version fragen.

Microsoft Edge ab März mit Adobe Freemium

Wie Microsoft heute mitteilte, wird der in #Edge integrierte Open-Source PDF-Betrachter ab März 2023 durch ein Adobe PDF Reader Lite Freemium Modul ersetzt und der integrierte PDF-Betrachter dadurch ersetzt. Ähnlich zum installierbaren Adobe Acrobat Reader DC werden dann innerhalb des Moduls die Premium-Funktionen, die es nur im Abo gibt, von Adobe beworben. Microsoft Edge stellt damit Werbung nicht nur für eigene Produkte, sondern Lösungen von Drittanbietern dar. Welche Daten dabei an Adobe Inc. USA übertragen werden, ist noch unklar. Außerdem wächst der Bedarf an Datei- und Arbeitsspeicher für das Produkt und die Dienste (z. B. Adobe Updater) an. (Quelle: Microsoft Website)

Kommentar: Oh, nein!. Da bin ich gerade froh, Adobe Acrobat Reader DC von allen Systemen entfernt zu haben und somit 95% Sicherheitslücken und veraltete Versionen weniger, da baut Microsoft eine Freemium-Version in den eigenen (in weiten Teilen GPL-lizensierten) Browser ein.

Nun haben wir einenj weiteren Grund, Chrome für Enterprise als Standard-Browser zu setzen und ggf. sofern möglich, Edge ganz aus dem System zu entfernen. Dabei ggf. nur die Edge Runtime (die hoffentlich ohne Adobe Reader-Plugin geliefert wird, für einzelne Apps zu verwenden. Ich hoffe, das Vorhaben wird nicht Bestand haben oder eine Option (oder Life-Hack) geben, die PDF-Engine zu deaktivieren.

Ich werde bei Chrome Enterprise und dem integrierten Open-Source PDF-Betrachter in diesem Browser bleiben und überlege, ob ich den Edge rückstandsfrei entfernen kann auf allen betreuten Systemen. Die Aufdringliche Werbung dafür nervt ja eh und dass man laufend dagegen neue Policies aktivieren muss!

Der Kommentar im Kasten spiegelt die Meinung der Redaktion.

Objektiv betrachtet: Man kann geteilter Meinung sein, welchen Browser man am Besten findet. Aber um die höchstmögliche Sicherheit von Windows Systemen zu bekommen eignet sich (denn dabei stehen 0-Day-Updates bereits zwei Stunden nach Bekanntwerden zur Verfügung). Google Chrome Enterprise als Standard-Browser.

Seit Version 109 von Edge gibt es nur die folgende Möglichkeit den Microsoft Edge Browser rückstandsfrei aus Windows 10 und Server 2016/19/22 zu entfernen (wie immer Benutzung auf eigenes Risiko):

• Den Windows Taskmanager starten und alle Prozesse beenden, die mit Microsoft Edge beginnen
• Eine administrative Powershell öffnen und den Befehl
  reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EdgeUpdate" /v "DoNotUpdateToEdgeWithChromium" /t REG_DWORD /d 1 -f
  eingeben
• Regedit aufrufen und den Ast:
  HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\
  öffnen. Dann die Schlüssel durchblättern, bis Microsoft Edge beim Display Name auftaucht. Den kompletten Schlüssel löschen
• Windows Explorer öffnen und alle Ordner unter "c:\programme (x86)\microsoft" entfernen, die mit Edge beginnen (außer Webview2)
• Die Edge Verknüpfungen in Startmenü und Taskleiste löschen
• Zuletzt unter Systemsteuerung Programme&Features den Microsoft Edge Webview2 deinstallieren.. Achtung: Edge Webview2 muss nach jedem Office-Update erneut deinstalliert werden,
• Nun auch den Rest der Ordner unter "c:\programme (x86)\microsoft" entfernen, die mit Edge beginnen (Edge Updater)
• Die Aufgabenplanung aufrufen und alle Tasks löschen, die mit Edge beginnen!
• Den Rechner neu starten und den freien Platz und rund 600 MB mehr Arbeitsspeicher und weniger Hintergrunddienste genießen

Windows 8.1 Nutzende

Kurz notiert: Für Windows 8.1 Nutzende ist am 10. Januar 203 das Nutz-Ende angesagt, da der erweiterte Support #endoflife durch #Microsoft und damit ab diesem Datum die Windows #Sicherheitsupdates eingestellt werden. Da Rechner mit diesem Betriebssystem mindestens 8 Jahre als sein müssen, empfiehlt sich der Austausch durch ein neues Gerät (beispielsweise ein lenovo ThinkCentre Tiny oder ein lenovo Thinkpad). Das empfohlene Betriebssystem ist Windows 10 Pro - nicht Windows 11 Pro. Sie können beim Konfigurieren der Hardware angeben, dass Sie diese mit vorinstallierter Windows 10 Pro Version bekommen. Der Historie der Betriebssysteme folgend wird Windows 12 dann im Herbst 2024 wieder ein nutzbares Betriebssystem ohne Komforteinbußen.

Neuigkeiten und interessante Themen ./.

Etwa seit Windows 11 veröffentlicht wurde, hat Microsoft mit einem Windows 10 Update eine neue Funktion namens "Neuigkeiten und interessante Themen" in die Taskleiste installiert. Im Hintergrund werden die MSN-Webseiten von Microsoft zahlreich aufgerufen. Angezeigt wird bestenfalls das Wetter in der Taskleiste (Symbol und Temperatur/Zustand).

Seit neuestem wird immer wieder die Wetterzeile in der Taskleiste durch das Word "Nachrichten" ersetzt. Klickt man darauf, wird eine "Eilmeldung" angezeigt - und erst, wenn man die wegklickt, erscheint wieder das Wetter. Die Aktualisierung des lokalen standortbezogenen Wetters klappt neuerdings auch nicht mehr zuverlässig. Sow wurde heute nachmittag die Temperatur (und die Mondsichel) von letzter Nacht angezeigt.

Zusätzlich werden in dem Popup viele Nachrichtenquellen heruntergeladen und angezeigt, die mich nicht interessieren. Leider kann man die Nachrichten nicht komplett abschalten (sondern nur einzelne von über 250 Kanälen blockieren) und sich nur auf das Wetter konzentrieren. Daher habe ich mich entschlossen, die Clickzahlen von Microsoft nicht mehr zu sponsern und unerwünschten Inhalt nicht länger zu dulden.

Dazu gibt es einen Registry-Eintrag (auch als Gruppenrichtlinie verfügbar):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Feeds]
"EnableFeeds"=dword:00000000

Einmal gesetzt, wird das Element in der Taskleiste abgeschaltet und lässt sich auch nicht über die rechte Maustaste wieder aktivieren. An sich für Unternehmen gedacht, die Werbung weitgehend unterbinden möchten. Nach ersten Tests funktioniert der Registry Schlüssel auch für die Pro Versionen, nicht nur für Enterprise.

Wer sowieso viel mit einem Chromium-basierten Browser unterwegs ist und die Wetterinfo kostenlos und werbefrei oben rechts in der Erweiterungen-Leiste sehen möchte, aktiviert einfach die Chrome-Erweiterung: UVWeather.

Windows Registry Editor Version 5.00

https://chrome.google.com/webstore/detail/uv-weather/ngeokhpbgoadbpdpnplcminbjhdecjeb?hl=de

Kleiner Fun-Fact am Rande: Wer möchte, kann in Outlook ab Version 2013 bzw. 365 die Wetterleiste im Kalender anzeigen lassen. Diese ist (bis jetzt) werbefrei und zeigt das 5-Tage-Wetter des eingegebenen Standorts an. Dazu muss unter den Optionen/Trustcenter in den Trustcenter-Einstellungen unter Datenschutz "Erfahrungen aktivieren, die Onlineinhalte herunterladen" aktiviert werden.

Edge nervt mit Standardbrowser-Popups

wer Google Chrome für Enterprise als Standardbrowser einsetzt (wie empfohlen) und Microsoft Edge als "Ersatzbrowser" und zur Absicherung des Betriebssystems wird sich sicherlich schon geärgert haben, dass Edge andauernd ein Popup oben einblendet, das empfiehlt, Edge zum Standard-Browser zu machen.

Nein, Microsoft - wenn ich einmal NEIN ankreuze, möchte ich nicht mit jedem Browser-Update wieder diese Meldung haben.

Zum Glück gibt es Abhilfe:

edge://flags/#edge-show-feature-recommendations

Dieser Schalter kann auf "disabled" gesetzt werden und schon ist (hoffentlich dauerhaft) Schluss mit den "Edge zum Standard machen" Popups.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"SmartScreenEnabled"=dword:00000001
"DefaultBrowserSettingEnabled"=dword:00000000

Ich wünsche mit auch einen solchen Schalter für die Teams Free Version und für Onedrive in der kostenlosen Version - denke aber der wird dort nicht kommen :P

Windows 10 22H2 kommt im Herbst

Mit dem optionalen Juli-Update erhöht sich der Update-Zähler der Windows 10 Version auf 1865. Zusätzlich gibt #Microsoft damit bekannt, dass im Herbst einige aktualisierte Funktionen (welche das sind, ist noch nicht bekannt) auch in Windows 10 implementiert werden.

Das Ganze ist wieder ein "kleines" Update, das bedeutet neben den monatlichen #Sicherheitsupdates und den Fehlerkorrekturen zwei Wochen danach wird es zum September oder Oktober Patchday wieder ein "Enablement-Package" geben, dass die dann enthaltenen neuen Funktionen freischaltet und den "Build" von 19044 auf 19045 anhebt. Diese Maßnahme muss Microsoft machen (das Build-anheben), weil der jeweils aktuelle Build immer nur 18 Monate Support hat und man ältere Versionen von Windows 10 - die man nicht aktualisiert hat - nicht mehr einsetzt.

Der Betriebssystemkern bleibt beim Stand von September 2019 (Codename: Vibranium - wie im Marvel Comic), die volle Versionsangabe ist damit: 19041.1.amd64fre.vb_release.191206-1406/1806.

Wer die 19045 jetzt schon einschalten möchte (damit die Funktionen bei Auslieferung im Patchzyklus automatisch aktiviert werden mit dem .msu Paket "windows10.0-kb5015684-x64-1945enabler.msu" aus der Microsoft Knowledgebase bei Microsoft tun.

Alternativ kann dies mit der folgenden Befehlsfolge ab Build 1826 (in einer administrativen Powershell oder Eingabeaufforderung) geschehen. Dazu muss es jedesmal nach einem Update die 1826 durch den aktuellen Build angepasst werden.

@echo off
title windows 19045 enabler für build .1826
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-Product-Data-22h2-EKB-Package~31bf3856ad364e35~amd64~de-DE~10.0.19041.1826.mum
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-Product-Data-22h2-EKB-Package~31bf3856ad364e35~amd64~~10.0.19041.1826.mum
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-Product-Data-22h2-EKB-Wrapper-Package~31bf3856ad364e35~amd64~de-DE~10.0.19041.1826.mum
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-Product-Data-22h2-EKB-Wrapper-Package~31bf3856ad364e35~amd64~~10.0.19041.1826.mum
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-UpdateTargeting-ClientOS-22h2-EKB-Package~31bf3856ad364e35~amd64~de-DE~10.0.19041.1826.mum
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-UpdateTargeting-ClientOS-22h2-EKB-Package~31bf3856ad364e35~amd64~~10.0.19041.1826.mum
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-UpdateTargeting-ClientOS-22h2-EKB-Wrapper-Package~31bf3856ad364e35~amd64~de-DE~10.0.19041.1826.mum
dism /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-UpdateTargeting-ClientOS-22h2-EKB-Wrapper-Package~31bf3856ad364e35~amd64~~10.0.19041.1826.mum

.net Update: Programme starten nicht mehr

Mit den #Microsoft #Sicherheitsupdates für das .net-Framework schaltet Microsoft bereits seit April 2022 einige ältere Funktionen ab. ‎Nach der Installation von KB5012643 starten einige .NET Framework 3.5 Anwendungen nicht mehr. Ursache sind die von den Anwendungs-Herstellern genutzte Funktionen: Windows Communication Foundation (WCF) und Windows Workflow (WWF).‎

Workaround

Wenn Sie von dem Fehler betroffen sind, melden Sie sich mit administrativen Rechten an den betroffenen Rechnern oder Terminalservern an und führen in der administrativen Befehlszeile oder Powershell die folgenden Kommandos aus:

dism /online /enable-feature /featurename:netfx3 /all
dism /online /enable-feature /featurename:WCF-HTTP-Activation
dism /online /enable-feature /featurename:WCF-NonHTTP-Activation

Mit etwas Glück starten dann die Programme wieder. Wenden Sie sich an den Hersteller/Programmierer der Software zwecks Update zu einer Version, die diese Komponenten nicht mehr nutzt. Es ist zu befürchten, dass Microsoft die Funktionen mit dem nächsten .net monatlichen Update erneut entfernt.

Windows Versionen Zeitleiste

die folgende Zeitachse zeigt die Historie der verschiedenen #Windows Client- und #Server - Versionen und von Office Kaufversionen, deren Erscheinungsdatum, Codenamen und das #endoflife (eol) Support-Ende. Rot hinterlegt die unbeliebten Windows-Versionen:

[timeline sort=desc numbererd=1]
1995-08-24|=|(rot)Windows 95 Codename: Chicago. Version: 4.00 Buildnummer: 950 Ende der Updates: 31. Dez 2001||
1996-08-24|=|Windows NT 4.0 Codename: Shell Update Release. Version: NT 4.0 Buildnummer: 1381 Ende der Updates: 30. Jun 2004||
1998-06-25|=|Windows 98 Codename: Memphis[b]. Version: NT 4.1 Buildnummer: 1998 Ende der Updates: 11. Jul 2006||
1999-05-05|=|(rot)Windows 98 SE. Version: 4.10.2222 A (Second Edition) Versuch einer weiteren Bugfix Release, Ende der Updates: 11. Jul 2006||
2000-02-17|=|(gelb)Windows 2000 Codename: Windows NT 5.0. Version: NT 5.0 Buildnummer: 2195 Ende der Updates: 13. Jul 2010||
2000-09-14|=|(rot)Windows Me Codename: Millennium. Version: NT 4.19 Buildnummer: 3000 Ende der Updates: 11. Jul 2006||
2001-10-25|=|Windows XP Codename: Whistler. Version: NT 5.1 Buildnummer: 2600 Ende der Updates: 08. Apr 2014||
2005-04-25|=|(gelb)Windows xp Professional 64-Bit (entspricht Server 2003 R2) Codename: Anvil. Version: NT 5.2 Buildnummer: 3790 Ende der Updates: 08. Apr 2014||
2007-01-30|=|(rot)Windows Vista Codename: Longhorn. Version: NT 6.0 Buildnummer: 6002 Ende der Updates: 11. Apr 2017||
2009-10-22|=|Windows 7 (entspricht Server 2008 R2) Codename: Windows 7. Version: NT 6.1 Buildnummer: 7601 Ende der Updates: 14. Jan 2020||
2012-10-26|=|(rot)Windows 8 (entspricht Server 2012) Codename: Windows 8. Version: NT 6.2 Buildnummer: 9200 Ende der Updates: 12. Jan 2016||
2013-10-17|=|(rot)Windows 8.1 (entspricht Server 2012 R2) Codename: Blue. Version: NT 6.3 Buildnummer: 9600 Ende der Updates: 10. Jan 2023||
2015-07-29|=|Windows 10 version 1507 Codename: Threshold. Version: NT 10.0 Buildnummer: 10240 Ende der Updates: 19. Jan 2017||
2015-11-10|=|Windows 10 version 1511 Codename: Threshold 2. Version: 1511 Buildnummer: 10586 Ende der Updates: 03. Mai 2017||
2016-08-02|=|Windows 10 version 1607 (entspricht Server 2016) Codename: Redstone 1. Version: 1607 Buildnummer: 14393 Ende der Updates: 24. Jan 2018||
2017-04-05|=|Windows 10 version 1703 Codename: Redstone 2. Version: 1703 Buildnummer: 15063 Ende der Updates: 27. Sep 2018||
2017-10-17|=|Windows 10 version 1709 Codename: Redstone 3. Version: 1709 Buildnummer: 16299 Ende der Updates: 10. Apr 2019||
2018-04-30|=|Windows 10 version 1803 Codename: Redstone 4. Version: 1803 Buildnummer: 17134 Ende der Updates: 22. Okt 2019||
2018-11-13|=|Windows 10 version 1809 (entspricht Server 2019) Codename: Redstone 5. Version: 1809 Buildnummer: 17763 Ende der Updates: 06. Mai 2020||
2019-05-21|=|Windows 10 version 1903 Codename: 19H1. Version: 1903 Buildnummer: 18362 Ende der Updates: 11. Nov 2020||
2019-11-12|=|Windows 10 version 1909 Codename: Vanadium. Version: 1909 Buildnummer: 18363 Ende der Updates: 05. Mai 2021||
2020-05-27|=|Windows 10 version 2004 Codename: Vibranium. Version: 2004 Buildnummer: 19041 Ende der Updates: 18. Nov 2021||
2020-10-20|=|Windows 10 version 20H2 Codename: Vibranium. Version: 20H2 Buildnummer: 19042 Ende der Updates: 13. Apr 2022||
2021-05-18|=|Windows 10 version 21H1 Codename: Vibranium. Version: 21H1 Buildnummer: 19043 Ende der Updates: 09. Nov 2022||
2021-11-16|=|Windows 10 version 21H2 Codename: Vibranium. Version: 21H2 Buildnummer: 19044 Ende der Updates: 01. Okt 2023||
2022-09-30|=|(gruen)Windows 10 version 22H2 (letzte Version von Windows 10 - Server 2022 hat einen etwas neueren Build: 20348) Codename: Vibranium. Version: 22H2 Buildnummer: 19045 Ende der Updates: 15. Okt 2025 (in der Cloud und mit ESU + 3 Jahre)||
2024-10-08|=|(gruen)Windows 11 version 24H2 (großes Upgrade) Codename: Germanium. Version: 24H2 Buildnummer: 26100 Ende der Updates: 09. Oktober 2026, bei Enterprise 1 Jahr später||
2025-10-07|=|(gruen)Windows 11 version 25H2 (kleines Update) Codename: Germanium. Version: 25H2 Buildnummer: 26200 Ende der Updates: 09. Oktober 2027, bei Enterprise 1 Jahr später||
2015-10-15|=|(orange)Office 2016, Kaufversionn, Ende der Updates: 15. Oktober 2025||
2018-10-15|=|(orange)Office 2019, Kaufversionn, Ende der Updates: 15. Oktober 2025||
2021-05-12|=|(gelb)Office LTSC 2021, Kaufversionn Ende der Updates: 13. Oktober 2026||
2024-10-08|=|(gruen)Office LTSC 2024, Kaufversionn Ende der Updates: 08. Oktober 2029||
2023-10-30|=|(rot)Windows 11 version 23H2 Codename: Nickel. Version: 23H2 Buildnummer: 22621 Ende der Updates: 09. Oktober 2025||
2021-10-20|=|(rot)Windows 11 version 21H2 Codename: Vibranium. Version: 21H2 Buildnummer: 22000 Ende der Updates: 13. Oktober 2023||
2022-10-09|=|(rot)Windows 11 version 22H2 Codename: Nickel. Version: 22H2 Buildnummer: 22500 Ende der Updates: 09. Oktober 2024||
2024-10-11|=|(gruen)Windows Server 2025 (LTSC) - 10.0.26100 - (Supportende 14 Okt 2034)||
2021-08-18|=|(gruen)Windows Server 2022 (LTSC) - 10.0.20348 - (Supportende 14 Okt 2031)||
2018-11-13|=|(gruen)Windows Server 2019 (LTSC) - 10.0.17763 - (Supportende 09 Jan 2029)||
2016-10-15|=|(orange)Windows Server 2016 (LTSC) - 10.0.14393 - (Supportende 12 Jan 2027)||
2013-11-25|=|(rot)Windows Server 2012-R2 (LTSC) - 6.3.9600 - (Supportende war 10 Oct 2023) - ESU verfügbar kstpfl. bis 13 Oct 2026||
2011-02-22|=|(rot)Windows Server 2008-R2-SP1 (LTSC) - 6.1.7601 - (Supportende war 14 Jan 2020, ESU war bis 10 Jan 2023||
2022-12-02|=|PHP Version 8.2 - Supportende 02. Dez 2025 EOL (Community)||
2023-12-02|=|PHP Version 8.3 - Supportende 02. Dez 2026 EOL (Community)||
2024-12-02|=|PHP Version 8.4 - Supportende 02. Dez 2027 EOL (Community)||
2025-12-02|=|PHP Version 8.4 - Supportende 02. Dez 2028 EOL (Community)
[/timeline]

Windows 11 Spam verhindern

obwohl zahlreiche Partner und auch Microsoft-Abteilungen die Verwendung von Windows 11 nicht freigeben, verwendet Microsoft nun sogar in den Windows 10 Enterprise-Versionen das "Wichtige Updates verfügbar" Symbol in der Taskleiste mit einem blauen Punkt, um Benutzer aufzufordern, auf #Win11 zu aktualisieren. Selbst wenn man mit der rechten Maustaste darauf klickt, kann man die Meldung nicht vollständig abstellen, sondern "später erinnern".

Geht man danach in die Systemsteuerung, Updates und Sicherheit, Windows Update, wird erneut mit einem prominent platzierten Banner Windows 11 beworben. Auch hier kann man nur "vorerst noch nicht" auswählen.

Domänen Admins können diese Meldungen (falls die GPO noch funktioniert) diese Meldung verhindern (die GPOs müssen dazu mindestens die ADMX-Templates von September 2021 haben):

Computerkonfiguration
> Administrative Vorlagen
 > Windows-Komponenten
  > Windows Update
   > Windows Update für Unternehmen"
Im Schlüssel "Zielversion des Funktionsupdates auswählen"

Dort muss der Wert für das Produkt: "Windows 10" enthalten und die Version auf "21H2" gesetzt werden. Sollte Microsoft für Windows 10 doch eine 22H2 Version herausbringen (19045.x), ist dieser Wert zu setzen.

Drucken oder nicht – Novemberpatch und Typ4-Treiber

November Patch Nightmare = Oktober Patch Nightmare

(Update vom 14.11.2021: In Kürze kommt ein Patch von Microsoft heraus, der auch die RPC-Druckfehler beseitigen soll)
Mit dem #Patchday Oktober 2021 werden die unten genannten Registry keys als Gruppenrichtlinie installiert und/oder in der Registry der Wert 1 gesetzt. Das bedeutet, nach Neustart der Druckserver und Terminalserver kann wieder nicht mehr gedruckt werden, wenn man kein Domain Admin ist. Die Forderung von BSI und Versicherungen, Sicherheitsupdates innerhalb von 7 Tagen zu installieren, bleibt bestehen. Wer das Update installiert, wird die untenstehenden Registry-Einstellungen bzw. GPOs wieder auf Wert Null setzen und einen erneuten Restart der Server hinlegen müssen. Vom Oktober Fehler waren auch Typ4-Treiber betroffen. So konnte ein Client zwar drucken, es wurden aber nur rudimentäre Standard Eigenschaften des Point&Print Compatibility Treibers angezeigt (also quasi Notlauf). Mit dem November Patch wurde letztgenannter Typ4-Fehler behoben.

Microsoft Patchday Oktober Änderungen

https://support.microsoft.com/en-us/topic/october-12-2021-kb5006669-os-build-14393-4704-bcc95546-0768-49ae-bec9-240cc59df384

Microsoft Known Issues November – man wird auf einen „Patch vom Patch“ warten müssen, wenn man betroffen ist

https://docs.microsoft.com/en-us/windows/release-health/status-windows-10-21h1#1724msgdesc

Sofortmaßnahmen: Registry und Powershell

#Print-Nightmare geht mit dem Oktober-Patch in die siebte Runde: Wer seine Systeme bestmöglich absichern möchte, kann das November-Update installieren. Damit weiterhin gedruckt werden kann, müssen vorher zwei Registry Schlüssel gesetzt werden. Außerdem müssen alle beteiligten Server und Endgeräte mindestens den August 2021 Patchlevel haben. Danach die betreffenden Systeme neu starten und dann erst das Update installieren. Laut Meldungen in der Microsoft Community (und empirischen Beweis in eigener Umgebung) kann danach wieder auf Netzwerkdrucker im LAN gedruckt werden. Das Installieren des Patches ist unter Risikoaspekten deshalb empfehlenswert, weil eine viel kritischere Lücke (MSxHTML) geschlossen wurde, die das Ausführen von Schadcode bereits in der Vorschauansicht des Windows Explorers erlaubte.

Außerdem sollte darauf geachtet werden, dass die Druckertreiber der verwendeten Drucker auf dem aktuellen Stand sind. Hierzu müssen sie auf dem Druckserver aktualisiert werden. Mit den Registry-Einstellungen sollte dann auch der User auf einem Terminalserver mit dem neuen Treiber versorgt werden, ohne dass es zu einer Fehlermeldung kommt. Hier die Codezeilen der .reg-Datei:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print]
"RpcAuthnLevelPrivacyEnabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint] "RestrictDriverInstallationToAdministrators"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides] 
"713073804"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides] 
"1921033356"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides] 
"3598754956"=dword:00000000


Zusätzlich zu den Registry-Einstellungen und dem Neustart muss der folgende Befehl an einer administrativen Powershell eingegeben werden:

Get-ScheduledTask -TaskName "ReconcileFeatures" | Start-ScheduledTask

Aktualisierung der Druckertreiber auf V4-Benutzermodus

Da nicht sicher ist, ob Microsoft die oben genannten Registry-Einstellungen weiter beibehalten wird, ist eine nachhaltige Lösung, sofern möglich, die Umstellung der Windows-Drucker-Treiber auf sogenannte #V4-Treiber. Im Regelfall finden sich in der Druckerverwaltung überwiegend V3-Druckertreiber. Diese stellen dann langfristig ein latentes Problem dar.

• Rufen Sie dazu die Windows Druckverwaltung am Printserver auf
  • Drucker: in der Liste ist erkennbar, ob der Treiber Typ3-Benutzermodus oder schon Typ4 ist
  • Ist er Typ 3, bitte auf die Herstellerseite gehen und nach dem Treiber für das angezeigte Modell suchen
  • Unter Basistreiber in der Auflistung tauchen (z.B. beim HP Laserjet-M402) dann ein V3-Treiber und ein V4-Treiber auf. Den V4-Treiber herunterladen
  • Unter Treiber, Treiber hinzufügen diesen in die Liste bringen
  • Unter Drucker bei jedem Drucker in die Eigenschaften, unter Erweitert, Treiber den neuen V4-Treiber auswählen
  • Danach in den Eigenschaften unter Allgemein (Einstellungen), Erweitert (Standardwerte) die Schacht- und sonstige Einstellungen neu setzen, ggf. bei Geräte-Einstellungen die anderen Schächte ausschalten
• Verbinden Sie dann an allen Clients und/oder Terminalservern die Drucker neu, damit diese den neuen Treiber verwenden
  • Je nach Druckerhersteller reicht es dazu, sich am Endgerät/Terminalserver als Domain Admin anzumelden und alle Drucker zu verbinden. Dadurch werden maschinenweit die neuen Treiber gezogen.
  • Ggf. müssen für jede Sitzung (jeden Benutzer) die Druckerverknüpfungen erneuert werden (dazu haben viele Kunden für jeden Benutzer die „Druckerverknüpfungen“. Der Benutzer kann dann alle Drucker rauslöschen und sie erneut verbinden und einen zum Standarddrucker machen.
• Drucktest machen

Gibt es für von Ihnen verwendete Drucker keinen V4-Treiber vom Hersteller (das ist insbesondere bei älteren Modellen der Fall, bleibt das Risiko, dass irgendwann die Registry-Schlüssel nicht mehr funktionieren und diese Drucker ersetzt werden müssen. Beispiele sind das Model M404 von HP und das Modell Kyocera ECOSYS P2040dn. Für beide sind V4-Treiber erhältlich.

Wenn alles nicht hilft - Checkliste

Die von Microsoft genannten "Workarounds" beschreiben bestimmte Voraussetzungen. Prüfen Sie, ob Sie alle erfüllen:


• Welche Drucker (Hersteller, Modelle) sind betroffen?
• Welchen Updatestand haben die (alle) Terminalserver (Mindestens Update von August 2021 muss drauf sein.
• oder Welchen Softwarelevel haben die Windows 10 Clients (muss mindestens 19043.1288 sein)
• Sind die beiden Registry-Schlüssel überall gesetzt? (Druckserver, Terminalserver, AVD-Pools) - vorsichtshalber diese Schlüssel VOR dem Neustart nach dem November Update nochmal setzen bzw. die GPO kontrollieren.
• Sind die über den Druckserver verbundenen Drucker im selben Netzwerk oder per vpn (Clientdrucker im Homeoffice)? Clientdruck wird in einigen Fällen nicht funktionieren.

Windows 11 Update blockieren

Für diejenigen, die in ihrem Unternehmen ein einheitliches Benutzer-Interface haben möchten oder wo die Hardware nicht die Anforderungen für Windows 11 #Eleven erfüllt, können per Gruppenrichtlinie einfach das ab 05. Oktober als optionales Funktions-Upgrade angebotene Funktionsupdate verhindern:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"TargetReleaseVersion"=dword:00000001
"ProductVersion"="Windows 10"
"TargetReleaseVersionInfo"="21H2"

Diese Registry Datei sorgt dafür, dass es bei Windows 10 (Build 19044) bleibt. Es werden weiterhin 1x pro Monat Sicherheitsupdates und Fehlerkorrekturen installiert.

Natürlich funktioniert das auch über eine Gruppenrichtlinie:

• Richtlinien für Lokaler Computer -> Computerkofiguration -> Administrative Vorlagen -> Windows-Komponenten -> Windows Update -> Manage updates offered from Windows Update
• Hier dann Zielversion des Funktionsupdates auswählen doppelt anklicken
• Hier Windows 10 und darunter dann 21H2 eintragen